Vous recevez une image sur votre Mac et hop, vous vous faites aspirer la totalité des mots de passe stockés dans Keychain ou Trousseau d’accès, le gestionnaire de mots de passe de Mac OS X. Plutôt inquiétant, non ?
C’est pourtant ce que viennent de découvrir les développeurs libanais Antoine Vincent Jebara et Raja Rahbani. En travaillant sur leur propre logiciel de gestion d’identité MyKi, ils sont tombés par hasard sur un joli bug dans Keychain.
Il suffit de taper une succession de lignes commandes pour faire en sorte que le système donne accès aux mots de passe stockés sans que l’utilisateur n’ait besoin de rentrer son mot de passe (le master password). Le seul petit obstacle est une alerte qui s’affiche avec un bouton « Autoriser », ce qui est facile à contourner. Il est possible en effet de simuler un clic de souris de façon logicielle.
Pour prouver leur trouvaille, les deux développeurs ont créé un malware intégré dans une image qui, dès qu’elle est ouverte, exécute les lignes de commandes et « appuie » sur le bouton. Tout se passe très vite : la fenêtre de l’alerte n’est ouverte que pendant un peu moins de 200 ms, de sorte que l’utilisateur n’y voit que du feu. Le ou les mots de passe ainsi récupérés sont ensuite envoyés par SMS au pirate.
Les développeurs ont réalisé une petite vidéo qui montre le déroulement de l’attaque :
MM. Jebara et Rahbani ont qualifié cette faille comme « extrêmement critique » car elle ne nécessite aucune élévation de privilèges et son exploitation peut être intégrée, ni vu ni connu, dans n’importe quel logiciel, sans qu’une solution antimalware ne puisse la détecter. Même si l’attaque ne peut se faire que sur un Mac, les iPhone et les iPad peuvent également être impactés de manière indirecte si l’utilisateur a activé iCloud Keychain, le service de stockage des mots de passe dans iCloud.
Evidemment, les développeurs n’ont pas révélé au grand public les lignes de commandes qui permettent d’accéder aux mots de passe stockés dans le Trousseau d’accès, et ils ne comptent pas le faire. Mais ils ont transmis tous les détails à Apple pour que ses ingénieurs puissent apporter un correctif.
Esperons qu’Apple ne perde pas trop de temps, car il est très probable que cette technique soit d’ores et déjà utilisée activement par les pirates. En effet, une technique très similaire a été observée il y a quelques jours par les chercheurs en sécurité de Malwarebytes dans un adware baptisé Genieo. Selon le hacker Noar, cette faille serait même déjà exploitée depuis 2011 dans un malware baptisé OSX.DevilRobber. C’est rassurant.
Amazed to see that this OS X Keychain flow was already part of OSX.DevilRobber years ago… so 2011! pic.twitter.com/RRE3k7UqjH
— noar (@noarfromspace) September 2, 2015
Source:
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
